网络安全隔离与信息交换技术的系统分析

张 庆

（重庆医科大学附属大学城医院 重庆 401331）

0 引言

在信息技术飞速发展的今天，网络安全问题越来越受人关注，人们对信息传输的安全性、及时性、有效性要求越来越高。为了满足信息传输的需要和网络安全的保障等问题，催生了网络安全隔离和信息交换技术。

1 目前网络安全存在的威胁

在网络信息的传输与交换中，会产生各式各样自身或他人的因素对信息的安全性和保密性产生威胁，具体说来主要有网络本身的安全缺陷和网络攻击两大类。

1.1 网络安全缺陷

一个完整的网络，是由网络协议和网络应用两大部分构成的，在协议的制定和应用的设计上都有可能出现网络安全缺陷。

1.1.1 协议设计缺陷

协议的设计往往都是以实用性为主，安全问题不被重视甚至被忽略，常借于应用来实现，这容易导致安全缺陷的产生；协议设计错误或对设计中发生的问题处理不当，容易是服务受到影响，也会成为黑客的目标；协议架构在其他基础协议之上时，若是所选协议不牢固，也会使所设计的协议功能性、稳定性和安全性受到影响。

1.1.2 软件编写、操作及维护不当

软件编写的方式不正确，习惯较差的情况，常常会遗留下安全漏洞，如模块应用错误、应用程序假设错误、资料容错力差、对未知错误的预判不够等；操作人员未能按照手册操作程序，或是对协议认知度不够，发生错误操作，也会导致漏洞的产生；有的软件的默认值设置不当，在方便用户的同时，也为病毒和木马创造了机会；软件开发完成后缺乏一定频率的维护，未能及时发现和修补系统的漏洞，导致网络攻击有机可趁。

1.2 网络攻击

现代的网络攻击手段较过去有了很大变化，攻击方式和工具层出不穷且易于掌握，攻击发起者也从个人行为到有组织有效率的团体行为，具体说来，网络攻击主要分为以下几种：

①病毒：计算机病毒会占用磁盘空间，引发CPU过度运行，导致系统效率降低或崩溃，更严重的会破坏资料，导致系统瘫痪或重启，甚至损坏硬件；

②木马：木马的说法来源于希腊神话中特洛伊之战的故事，主要指将恶意程序隐藏在某些看似正常合法的软件中，侵入用户的系统。一旦进入用户系统，木马会窃取用户的大量隐私等重要信息，包括账号密码，登录口令等，还会盗用用户的资料，以及一些其他的非法目的。

③黑客：黑客是利用网络攻击技术，攻击他人的系统以达成自己的不法目的。如网络嗅探，查看网络数据包并获取其中的内容，用来得知用户的账号、密码、口令等；拒绝服务，乐意通过反复向 WEB站点发送请求以阻塞该站点的网络传输，妨碍网站的正常功能；后门，在用户系统中留下“后门”程序，方便下次闯入。

正因为有如此多的网络不安全因素，这才推动了网络安全信息防护工作的发展。

2 网络安全隔离与信息交换技术发展及概况

网络安全隔离与信息交换技术的发展已经有长足的进步，通过数个阶段的摸索和测试，现有的网络信息防护技术已经相对成熟。笔者认为，网络安全隔离与信息交换技术的发展主要有以下几个阶段。

2.1 最初的网络安全隔离与信息交换技术

通过人工操作实现信息交换，是最初的网络安全隔离与信息交换技术。这种方法是在两个网络间进行物理隔断，由人工操作实施信息交换与传递。虽然此方式安全性较高，但是具有太多限制，比如人工操作缓慢，仍然无法彻底解决病毒和机密信息泄漏问题，传输形式只限于文件，应用范围很有限。

2.2 网络硬件隔离技术

时过境迁，以硬件隔离为代表的新一代网络隔离技术问世了。此法是将客户端和主板连接间加入一块硬件卡，由硬件卡控制系统硬件设备。硬件隔离卡是网络空间、时间隔离的初步形态，已经具有了一定的功效。但是由于切换网络需要重启系统及网络布线的局限性，该方式仍然有待改进。

2.3 新型网络隔离技术

经过硬件和软件技术的飞速发展，网络安全隔离技术开始了一个全新的阶段。参考防火墙的防护优点，并借鉴多样化的网络安全技术如访问限制、日志审查、病毒防护等措施，建立了集众家之所长的网络安全新技术框架。这种技术框架，能在空间和时间两个方面进行网络安全隔离和信息交换工作。空间上，通过中间交换储存介质分时连接内外网络，避免内外网络的直接联系；时间上，保证用户在同一时刻只能处于内网或外网的其中一个，实现信息高速安全的传输。

3 新型网络安全隔离技术的模型概述

新型网络安全隔离技术就是通过在内外网间建立交换储存控制开关，对流经的数据进行检查，分解，重组等操作。根据数据处理的过程，整个系统可以分为交换储存介质部分和内外网代理部分。

3.1 内外网代理部分的工作原理

内外网代理是保护信息安全的首要屏障，它们分别通过运行简化的服务器端程序和客户端程序，来处理通过它们的数据流量。该代理模块主要由TCP/IP协议栈、协议分解、协议重构、会话处理等部分构成。其中TCP/IP协议栈能处理多种协议的会话，如HTTP、SMTP、FTP等，协议分解负责将TCP/IP协议头映射为表单结构，表单结构含有许多重要协议参数，在映射过程中，会对协议的各项内容进行严格审查，并使用验证码校验加密，防止代理部分被外部攻击；协议重构则将上述表单重新生成为数据。三个部分结合在一起称为应用代理子模块。该模块继承了防火墙的优点，能进行包括IP审查，IP过滤、应用层协议访问控制等功能。

首先，TCP/IP协议栈会接受会话链接请求时，会自动终止链接，保证内外网无直接链接联系，之后协议栈根据设立好的规则对会话进行安全检查，当发现不符合安全规则的协议，协议栈将立刻终止会话；若是通过了安全检查，协议栈将为该会话建立会话表项，记录进程的有关参数以便处理外网持续传回的信息。此后，会话请求会被传送到协议分解部分，在此，会话内容被分为数据内容和应用内容；前者以特殊形式映射，静态封装，后者则附上验证序号，写入中间交换储存设备。会话处理部分则连接着外网的外部代理，起到了读取表单，重新构成协议段，并将具有同样验证序号的协议段及数据再组合，构成新会话并发送给外部服务器。

3.2 交换储存介质的工作原理

若是仅仅通过专用协议的逻辑隔离，并不能将数据静态化，可能出现利用底层协议攻击或避开安全规则攻击的网络安全漏洞。只有使内外网真正隔离，才能有效组织网络攻击的发生，真正保护信息安全，交换储存介质就发挥着这样的作用。

4 结语

经过多年的发展与不懈的探索，网络安全隔离与信息交换技术的发展日渐成熟，已成为防范网络攻击，保护信息安全的重要手段。采用内外网代理和交换储存处理模块组成的新型网络安全隔离技术，可以真正实现硬件上的隔离，保护信息安全，彻底将网络攻击扼杀在萌芽中。

[1]苏智睿 李云雪 王晓斌.网络安全隔离与信息交换技术分析[J].信息安全与通信保密，2012，04

[2]苏智睿.新型网络安全防护技术——网络安全隔离与信息交换技术的研究：[学位论文].电子科技大学，2013，02

[3]王诗琦.网络安全隔离与信息交换技术的系统分析[J].信息通信，2012，03

[4]马瑞祥 王宇.安全隔离与信息交换技术的最新发展动向[J].中国计算机报，2011，08